Des pirates informatiques volent 1,2 million de dollars de bitcoins sur Inputs.io, un service de portefeuille prétendument sécurisé

MISE À JOUR (8 novembre, 13h06 GMT) :

Lors d'un entretien téléphonique avecÉmission de radio AM australienneTradefortress a répondu aux contestations selon lesquelles le vol était « un travail interne », bien qu'il ait insisté sur le fait qu'il ne signalerait T le vol à la police parce que les bitcoins sont intraçables et qu'il serait impossible de retrouver le coupable.

Interrogé sur son âge, Tradefortress a déclaré à la publication : « J'ai plus de 18 ans, mais pas beaucoup plus. »

L'identité publique de Tradefortresses reste encore inconnue, mais sa réputation sur Bitcointalk semble êtrediscutable, avec au moinsdeuxmembres affirmant avoir étéarnaquéIl a été accusé de ne pas avoir livré des projets de codage pour lesquels il avait déjà été payé. Il a déclaré qu'il souhaitait conserver son anonymat car il craint désormais pour sa sécurité à la lumière de ce récent braquage.

Tradefortress gère également coinchat.com ainsi que coinlenders.com.

---------------------------------------------

Tradefortress, le développeur du portefeuille Web Bitcoin Inputs.io, a publié aujourd'hui une déclaration sur son site Web, après avoir été contraint de le fermer à la suite d'un incident de piratage majeur, déclarant :

« Je sais que cela ne veut T dire grand-chose, mais je suis désolé, et dire que je suis très triste que cela se soit produit est un euphémisme. »

Entrées.io

, qui était censé être un portefeuille Web Bitcoin de haute sécurité, a apparemment été piraté le 23 octobre, lorsque des voleurs ont volé des bitcoins d'une valeur actuelle de plus de 1,2 million de dollars BPIprix. La déclaration, publiée ce matin, continue :

Deux piratages totalisant environ 4 100 BTC ont empêché Inputs.io de payer tous les soldes des utilisateurs. Le pirate a compromis le compte d'hébergement en compromettant des comptes de messagerie (certains très anciens et sans numéro de téléphone, ce qui a facilité leur réinitialisation). Le pirate a pu contourner l'authentification à deux facteurs grâce à une faille côté hébergeur.





L'accès à la base de données a également été obtenu. Cependant, les mots de passe sont stockés de manière sécurisée et hachés sur le client. Si vous avez stocké plus d'un BTC, veuillez envoyer un e-mail à support@inputs.io avec une adresse Bitcoin (de préférence, un portefeuille hors ligne, open source light/SPV comme Multibit ou Électrum). Utilisez la même adresse e-mail que celle utilisée pour les entrées. Veuillez ne T stocker de bitcoins sur un appareil connecté à Internet, qu'il s'agisse du vôtre ou de celui d'un service.



« Je sais que cela ne veut T dire grand-chose, mais je suis désolé, et dire que je suis très triste que cela se soit produit est un euphémisme. »

Selon Hacker News, tout comme dans leVol de Bitfloor24 000 BTC ont été volés. Les bitcoins provenaient du « portefeuille HOT » du site web, un portefeuille en ligne qui doit fonctionner pour traiter les retraits en direct. Cependant, il semble qu'Inputs.io conservait la plupart, voire la totalité, de ses cryptomonnaies en ligne, alors que d'autres services en KEEP souvent jusqu'à 80 % hors ligne.

Inputs.io affirme que même si le piratage a eu lieu le 23 octobre, même les déposants qui ont effectué des dépôts après cette date ne sont pas en sécurité, car d'autres utilisateurs ont pu effectuer des retraits à partir du portefeuille partagé.

Contrairement à un service commeBlockchain.info(qui, bien que généralement considéré comme sûr, restea subi un problème de sécurité(en août), Inputs.io est un portefeuille partagé qui gère le solde de ses utilisateurs et leurs clés privées, leur donnant un accès complet à tous les bitcoins stockés avec eux.

L'accès au compte Blockchain.info est sécurisé par une combinaison identifiant/alias, mot de passe et authentification à deux facteurs, et est généralement considéré comme sécurisé. Cependant, comme pour toute Technologies, rien n'est infaillible. Selon « masteroflove » (utilisateur du forum Bitcoin Talk) :

Si le domaine blockchain.info est compromis, le pirate peut diffuser du code JavaScript malveillant qui enregistrera vos mots de passe et accédera à tous vos bitcoins. C'est pourquoi il est recommandé d'utiliser l'application blockchain de Chrome ou Firefox. Cependant, même cette solution n'est T infaillible : un pirate qui accède aux identifiants de la blockchain peut déployer une mise à jour malveillante qui se mettra automatiquement à jour sur vos applications de navigation.

Des questions sont désormais posées publiquement à propos du principal développeur d'Inputs.io, Tradefortress, qui, bien qu'encore peu connu du public, prétend avoir une compréhension approfondie des complexités des procédures de sécurité des portefeuilles Bitcoin .

Lorsque CoinDesk a contacté Tradefortress pour obtenir un commentaire, il nous a informés que « l'attaquant a pu compromettre d'anciens comptes de messagerie, facilement réinitialisés car ils n'étaient T associés à des numéros de téléphone. La compromission ONEun ancien compte de messagerie a conduit à la compromission d'un autre, ce qui lui a finalement permis de réinitialiser le mot de passe du compte d'hébergement et d'obtenir un accès shell après avoir contourné l'authentification à deux facteurs côté hébergeur. »

Il a poursuivi : « Nous n’utilisons T de cryptage côté client ; ce n’est pas vraiment infaillible et cela donne aux gens un faux sentiment de sécurité ».

Interrogé sur le montant que Inputs.io pourrait rembourser aux utilisateurs, il a répondu de manière assez obscure : « [Nous pourrons rembourser] jusqu'à 100 %. Pour Inputs, cela dépend uniquement du montant. 1 BTC au barème mobile actuel représenterait 74 %, 2 BTC 65 %… Ce chiffre n'est pas définitif, et s'il nous reste des pièces, nous pourrons rembourser davantage. »

En d'autres termes : si vous aviez moins de 1 BTC sur Inputs, vous devriez le récupérer, sinon, préparez-vous à subir une coupe de cheveux.